Gehackte Go Daddy-sites verspreiden ransomware
Aanvallers zijn erin geslaagd om de DNS van bij Go Daddy gehoste websites te wijzigen en naar kwaadaardige websites te laten wijzen. Hoe de aanvallers toegang tot de DNS-gegevens hebben gekregen is op dit moment nog onbekend. Het Domain Name System (DNS) fungeert als het telefoonboek van het internet. Het stelt een computer in staat het IP-adres te vinden dat bij een domeinnaam of subdomein hoort.
Bij de nu ontdekte aanvallen voegden de aanvallers extra subdomeinen toe. De subdomeinen wijzen weer naar kwaadaardige servers die verschillende exploits bevatten. Op deze manier hopen de aanvallers detectie door beveiligingsfilters te omzeilen en kan men gebruikers laten geloven dat het om legitieme content gaat.
De gebruikte exploits misbruiken beveiligingslekken in Adobe Reader en Java. Via de exploits wordt ransomware op het systeem geïnstalleerd, zegt Fraser Howard van anti-virusbedrijf Sophos.
P4wn3d tot de max en terug...
Ik ga dus tijdelijk de hele Go Daddy IP range even blocken...
Edit: Da's dus nog een hele queeste...
Tot nu toe:
GoDaddy.com Inc.
NetRange 50.62.0.0 - 50.63.255.255
NetRange 64.202.160.0 - 64.202.191.255
NetRange 68.178.128.0 - 68.178.255.255
NetRange 97.74.0.0 - 97.74.255.255
NetRange 173.201.0.0 - 173.201.255.255
NetRange 184.168.0.0 - 184.168.255.255
NetRange 208.109.0.0 - 208.109.255.255
NetRange 216.69.128.0 - 216.69.191.255
Aanvullingen zijn welkom...
Overigens zou ik een perm-ban wel eerst heel serieus overwegen, ik blijf voorlopig nog even op tijdelijk.
Dit bedrijf registreert domeinnamen en levert DNS services.
Als die dienst gehacked is dan bereik je toch helemaal niks met een IP block?
Als je kijkt naar het aantal infecties dan zijn ze waarschijnlijk achter username/password gekomen van de sites in kwestie.
En de officiële verklaring van GoDaddy:
Go Daddy has detected a very small number of accounts have malicious DNS entries placed on their domain names. We have been identifying affected customers and reversing the malicious entries as we find them. Also, we're expiring the passwords of affected customers so the threat actors cannot continue to use the accounts to spread malware.
We suspect that the affected customers have been phished or their home machines have been affected by Cool Exploit as we have confirmed that this is not a vulnerability in the My Account or DNS management systems.
Go Daddy highly recommends that US- and Canada-based customers enable 2-Step Authentication to help protect their accounts. Details on how to set up this feature are located at http://support.godaddy.com/help/article/7502/enabling-twostep-authentication.
If a customer suspects their account may have an issue, we encourage them to contact Go Daddy Customer Care or fill out the form at the following link: https://support.godaddy.com/support/?section=support.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
